换购或升级至 M 系列 Mac 后,很多人第一件事就是在本地装好代理客户端。 若你搜索的是「Clash Verge Rev macOS 安装」或「Clash Verge Rev M 芯片」, 真正需要的往往并不是立刻搞懂全部分流规则,而是先把应用安全装起来、顺利跑过首次启动。 本文专注这一场景:在 Apple Silicon 的 Mac 上,如何认准下载来源、 处理 Gatekeeper 拦截,以及按需完成系统扩展授权, 让 Clash Verge Rev 稳定出现在菜单栏并进入可用状态。 订阅导入与 TUN 等进阶用法,可参考站内 Clash Verge Rev 配置教程中的通用步骤。

本文面向搭载 Apple Silicon(M1 / M2 / M3 / M4 等) 的 Mac。 Intel 芯片 Mac 需下载 x64 版本,安装与权限流程类似但架构不同; 公司托管设备若启用了 MDM 限制,部分系统扩展授权可能需要管理员协助。

为什么 macOS 安装比 Windows 多一层「权限」

Clash Verge Rev 基于 Mihomo(Clash Meta) 内核,会在本地监听端口、 改写系统代理,并在开启 TUN 时加载网络扩展或系统扩展以捕获更多流量。 在 macOS 上,这些能力分别受到 Gatekeeper(应用来源与签名信任) 和系统隐私权限(网络、系统扩展等)的双重约束。

与 Windows 上常见的 SmartScreen、杀毒误报不同,Mac 用户更常遇到的是: 双击后出现「无法验证开发者」、或在开启增强模式时被要求前往系统设置 → 隐私与安全性手动允许。 这些提示并不必然代表软件有害,但前提是你已从可信渠道获取安装包并完成完整性校验。 在此基础上再授权,才能把「真风险」与「正常 friction」区分开。

开始之前:确认 Mac 与 macOS 环境

下载安装包前,建议先完成以下检查,避免装错架构或版本不兼容:

第一步:获取适用于 M 芯片的安装包

请优先从项目作者公布的 Releases 页面获取 macOS 安装包。 在资产列表中,选择与 Apple Silicon 对应的文件—— 常见命名包含 aarch64arm64 或明确标注 Apple Silicon; 分发形式可能是 .dmg 磁盘映像,也可能是 .pkg 安装器。

若你更习惯使用本站汇总的国内直链,可从 Clash 官方中文网下载页 → macOS 进入,再核对文件名、版本号与架构后缀是否与上游发布说明一致。 不建议通过不明网盘、论坛附件或所谓「破解专业版」获取应用: 即便当时不弹 Gatekeeper,也无法排除中间环节被植入或二次打包的风险。

切勿在 M 芯片 Mac 上运行 Intel-only 版本(或通过 Rosetta 强行运行来历不明的 x64 包)。 应始终选择官方提供的 Apple Silicon 原生构建,以获得更稳定的权限行为与更低的资源占用。

第二步:用 SHA256 校验下载文件(强烈建议)

上游 Releases 通常会列出各资产的 SHA256 校验值。 下载完成后,打开终端(Terminal),执行: 

shasum -a 256 ~/Downloads/Clash.Verge_aarch64.dmg

将输出的哈希值与发布页上对应文件逐位比对(不区分大小写)。 若完全一致,说明本地文件在传输过程中未被篡改,可作为后续信任判断的重要依据; 若不一致,请删除该文件并重新从官方链路下载,不要尝试通过 Gatekeeper 强行打开。

对于 .pkg 安装包,同样应对 pkg 文件本身做校验; 部分发布页还会提供 .sig 签名文件,供进阶用户验证,但 SHA256 已足够应对大多数场景。

第三步:安装到「应用程序」文件夹

DMG 方式:双击挂载磁盘映像,将 Clash Verge Rev 图标拖入「应用程序」文件夹, 然后在访达中弹出映像。建议不要长期从 DMG 内直接运行,以免后续更新与权限状态异常。

PKG 方式:双击 pkg 并按向导操作,通常会把应用写入系统应用程序目录。 安装过程中若弹出标准 macOS 安装器权限请求,输入管理员密码即可。 安装路径尽量保持默认,避免中文或过长自定义路径在脚本调用时引发边缘问题。

第四步:处理 Gatekeeper「无法验证开发者」

首次双击启动时,macOS 可能提示「无法打开,因为 Apple 无法验证其是否包含恶意软件」。 在已完成来源核实与 SHA256 校验的前提下,可按以下方式之一完成首次信任:

  1. 系统设置路径:打开「系统设置 → 隐私与安全性」,在页面底部找到被拦截应用的提示, 点击「仍要打开」,再次确认启动。
  2. 右键打开:在「应用程序」中找到 Clash Verge Rev,按住 Control 键点击(或右键), 选择「打开」,在对话框中再次点击「打开」。此方式仅对首次信任有效,之后可正常双击。

若提示中完全没有「仍要打开」选项,可能是 MDM 策略禁止用户绕过,或文件 quarantine 属性异常。 可在终端对具体 app 路径执行 xattr -dr com.apple.quarantine 清除隔离标记—— 但仅应在哈希校验通过且来源可信时使用,不可对来历不明的文件滥用。

第五步:系统扩展与网络扩展授权

仅使用系统代理模式时,往往只需完成 Gatekeeper 信任即可进入主界面。 若你计划开启 TUN 模式或类似增强捕获功能,Clash Verge Rev 通常会提示安装并启用 系统扩展(System Extension)网络扩展(Network Extension)

典型流程如下:

  1. 在客户端设置中尝试开启 TUN 或增强模式,系统会弹出需要授权的提示。
  2. 前往「系统设置 → 隐私与安全性」,找到「系统扩展」或「允许」相关区块,点击允许并输入管理员密码。
  3. 部分 macOS 版本要求重启 Mac 后扩展才会生效;按提示操作后再启动 Clash Verge Rev。
  4. 若扩展列表中显示来自 Clash Verge Rev 的条目处于「待批准」状态,需再次确认允许。

公司托管 Mac 上,系统扩展可能默认被 MDM 禁用。 此时个人用户无法自行批准,需向 IT 提供发布页链接文件哈希申请白名单。

macOS Sonoma 及更新版本对系统扩展的管理更严格。 若多次允许仍无法启用 TUN,可先仅用系统代理验证「安装成功」, 扩展问题留到配置阶段单独排查,避免与「应用根本没装上」混为一谈。

第六步:首次启动与基础可用验证

完成上述步骤后,从启动台或 Spotlight 打开 Clash Verge Rev。 正常情况下,菜单栏会出现应用图标,点击可展开主面板或快捷开关。 建议用下列轻量检查确认「装上了且能跑」,无需一次做完所有代理配置:

  1. 应用可重复退出与启动,不会在几秒内被系统静默删除。
  2. 设置页可正常打开,语言可切换为简体中文(如提供)。
  3. 若已临时导入订阅链接,配置页触发更新时日志无 TLS 证书类致命错误(时间错误除外)。
  4. 开启系统代理后,浏览器访问测试页能观察到流量经代理转发(需有效节点)。

更深层的规则分流、TUN 与 DNS 策略,与 Windows 场景在概念上相通。 站内 Windows 版 完整配置教程 中的订阅导入、策略组与 TUN 思路可直接迁移到 macOS 客户端界面,按对应菜单操作即可。

与 Windows 安装指南的差异速览

若你同时维护 Windows 与 Mac 设备,可将两平台的安装痛点对照理解,避免用错排障思路:

常见问题(FAQ)

提示「已损坏,无法打开」怎么办?

多数情况下并非文件真损坏,而是 quarantine 或 Gatekeeper 组合拦截的表现。 请先确认 SHA256 与官方一致;若一致,可尝试右键打开或在隐私与安全性中仍要打开。 若不一致,应视为不可信文件并删除,不要依赖清除 quarantine 强行运行。

M 芯片 Mac 能否通过 Rosetta 运行 Intel 版?

技术上部分 x64 应用可通过 Rosetta 转译,但 Clash Verge Rev 应优先使用官方 Apple Silicon 原生包。 原生版本在权限弹窗、TUN 扩展与能耗上通常更稳定;除非官方明确仅提供 universal 包,否则不必刻意选 Intel 版。

安装成功但菜单栏没有图标?

检查是否被其它菜单栏管理工具隐藏;在系统设置中确认 Clash Verge Rev 有权限显示菜单栏项。 也可尝试完全退出后重新启动,或在活动监视器中确认主进程是否存在。

必须关闭 SIP 才能用吗?

不需要,也不建议为了代理客户端关闭系统完整性保护(SIP)。 正规安装与系统扩展授权应在 SIP 开启状态下完成; 若教程要求关闭 SIP,应高度警惕来源是否可信。

首次启动后无法更新订阅?

这通常已进入「网络与配置」范畴,而非安装失败。 请先核对系统时间、直连网络能否访问订阅域名,并查看客户端日志; 若仅在公司网络下失败,可能是 DNS 或防火墙策略问题,与 Gatekeeper 无直接关系。

总结而言,在 M 芯片 Mac 上安装 Clash Verge Rev 的稳妥路径是: 认准 Apple Silicon 官方包 → SHA256 校验一致 → 完成 Gatekeeper 首次信任 → 按需批准系统扩展 → 验证菜单栏与主界面可用。 做到这几步,即可为后续订阅导入与分流配置打下干净起点,而不必在权限弹窗里反复试错。